4.7. 보안
pcsc-lite 패키지 1.9.5 기반
pcsc-lite 패키지는 업스트림 버전 1.9.5에 다시 기반을 두고 있습니다. 이번 업데이트에서는 새로운 개선 사항 및 버그 수정을 제공합니다.
-
수동으로 시작되면 비활성 후
pcscd데몬이 더 이상 자동으로 종료되지 않습니다. -
pcsc-spy유틸리티는 이제 Python 3 및 새로운--thread옵션을 지원합니다. -
SCardEndTransaction()함수의 성능이 향상되었습니다. -
poll()함수는FD_SETSIZE보다 높은 파일 설명자 번호를 허용하는select()함수를 대체했습니다. - 많은 메모리 누수 및 동시성 문제가 수정되었습니다.
crypto 정책은 diffie-hellman-group14-sha256을 지원합니다.
이제 RHEL 시스템 전체 암호화 정책에서 libssh 라이브러리에 diffie-hellman-group14-sha256 키 교환(KEX) 알고리즘을 사용할 수 있습니다. 이 업데이트는 또한 이 KEX 알고리즘을 지원하는 OpenSSH와 패리티를 제공합니다. 이번 업데이트를 통해 libssh 에는 기본적으로 diffie-hellman-group14-sha256 이 활성화되어 있지만 사용자 정의 암호화 정책을 사용하여 비활성화할 수 있습니다.
OpenSSH 서버가 드롭인 구성 파일 지원
sshd_config 파일은 Include 지시문을 지원하므로 다른 디렉터리에 구성 파일을 포함할 수 있습니다. 이렇게 하면 Ansible Engine과 같은 자동화 툴을 사용하여 OpenSSH 서버에 시스템별 구성을 보다 쉽게 적용할 수 있습니다. 또한 ssh_config 파일의 기능과 일치합니다. 또한 드롭인 구성 파일을 사용하면 들어오는 연결 필터와 같은 다양한 용도의 다양한 구성 파일도 더 쉽게 구성할 수 있습니다.
(BZ#1926103)
sshd_config:ClientAliveCountMax=0 disables connection termination
SSHD 설정 옵션을 ClientAliveCountMax 를 0 으로 설정하면 연결 종료가 비활성화됩니다. 이렇게 하면 이 옵션의 동작이 업스트림과 일치합니다. 결과적으로, ClientAliveInterval 옵션에서 구성한 타임아웃에 도달하면 OpenSSH는 더 이상 유휴 SSH 사용자의 연결을 끊지 않습니다.
libssh rebased to 0.9.6
libssh 패키지가 업스트림 버전 0.9.6으로 업데이트되었습니다. 이 버전에서는 버그 수정 및 개선 사항을 제공합니다.
-
여러 ID 파일을 지원합니다. 파일은
~/.ssh/config파일에 나열된 대로 맨 아래부터 맨 위로 처리됩니다. - SFTP에서 하위 시간 구문 분석이 수정되었습니다.
-
SSH_AGAIN을 예기치 않게 반환하는ssh_channel_poll_timeout()함수의 회귀 문제가 수정되었습니다. - 키 다시 교환 후 힙 버퍼 오버플로가 수정될 수 있습니다.
- AEAD 암호 일치 시 핸드셰이크 버그는 일치하지만 HMAC 중복은 고정되어 있지 않습니다.
- 오류 경로에서 몇 가지 메모리 누수가 수정되었습니다.
Libreswan Rebased to 4.5
Libreswan은 업스트림 버전 4.5에 재지정되었습니다. 이 버전에서는 많은 버그 수정 및 향상된 기능을 제공합니다.
- 레이블이 지정된 IPsec에 대한 인터넷 키 교환 버전 2 (IKEv2) 지원
- IKE(Internet Key Exchange) Security Association (SA) Security Association (SA)의 어린이 시작 지원.
(BZ#2017352)
SELinux 모듈 체크섬을 확인하는 새로운 옵션
semodule 명령에 새로 추가된 --checksum 옵션을 사용하면 설치된 SELinux 정책 모듈의 버전을 확인할 수 있습니다.
CIL(Common Intermediate Language)은 모듈 자체에 모듈 이름 및 모듈 버전을 저장하지 않기 때문에 이전에 설치된 모듈이 설치되어야 하는 모듈과 동일한 버전인지 확인하는 간단한 방법이 없었습니다.
새 명령 semodule -l --checksum 을 사용하면 지정된 모듈의 SHA256 해시가 수신되고 이를 원래 파일의 체크섬과 비교하여 모듈을 다시 설치하는 것보다 빠릅니다.
사용 예:
# semodule -l --checksum | grep localmodule localmodule sha256:db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd # /usr/libexec/selinux/hll/pp localmodule.pp | sha256sum db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd -
OpenSCAP에서 로컬 파일을 읽을 수 있습니다.
OpenSCAP에서 원격 SCAP 소스 데이터 스트림 구성 요소 대신 로컬 파일을 사용할 수 있습니다. 이전에는 인터넷에 액세스할 수 없는 시스템의 원격 구성 요소가 포함된 SCAP 소스 데이터 스트림을 완전히 평가할 수 없었습니다. 이러한 시스템에서 OpenSCAP은 인터넷에서 원격 구성 요소를 다운로드해야 하므로 이러한 데이터 스트림의 일부 규칙을 평가할 수 없었습니다. 이번 업데이트를 통해 OpenSCAP 스캔을 수행하기 전에 원격 SCAP 소스 데이터 스트림 구성 요소를 대상 시스템에 다운로드하여 복사하여 oscap 명령과 함께 --local-files 옵션을 사용하여 OpenSCAP에 제공할 수 있습니다.
SSG가 홈 디렉토리 및 대화형 사용자에 대한 규칙을 검사하고 수정
대화형 사용자가 사용하는 홈 디렉터리와 관련된 기존 규칙을 확인하고 해결하기 위한 OVAL 콘텐츠가 SCAP 보안 가이드(SSG) 모음에 추가되었습니다. 많은 벤치마크를 사용하려면 일반적으로 대화형 사용자의 홈 디렉터리에 있는 속성 및 콘텐츠를 확인해야 합니다. 시스템에 존재하는 사용자 수와 대화형 사용자 수는 다를 수 있으므로 이전에 OVAL 언어를 사용하여 이러한 격차를 해결할 수 있는 강력한 솔루션이 없었습니다. 이번 업데이트에서는 시스템의 로컬 대화형 사용자와 해당 홈 디렉터리를 감지하는 OVAL 검사 및 수정 사항이 추가되었습니다. 결과적으로 SSG는 모든 관련 벤치마크 요구 사항을 안전하게 확인하고 수정할 수 있습니다.
SCAP 규칙에 대규모 시스템의 감사 로그 버퍼를 구성하는 경고 메시지가 표시됩니다.
SCAP 규칙 xccdf_org.ssgproject.content_rule_audit_basic_configuration 은 이제 이 규칙에 의해 구성된 감사 로그 버퍼가 너무 작을 수 있으며 사용자 지정 값을 재정의할 수 있는 대용량 시스템의 사용자를 나타내는 성능 경고를 표시합니다. 경고는 더 큰 감사 로그 버퍼를 구성하는 프로세스도 설명합니다. 이번 개선된 기능을 통해 대규모 시스템의 사용자는 규정을 준수하고 감사 로그 버퍼를 올바르게 설정할 수 있습니다.
SSG는 이제 /etc/security/gcp.conf 파일을 지원
이번 개선된 기능에는 SCAP 보안 가이드(SSG)의 /etc/security/ceilometer.conf 파일에 대한 지원이 추가되었습니다. 이번 업데이트를 통해 SSG는 pam_ceilometer 설정 정의에 대한 있습니다. 또한 /etc/security/ceilometer.conf 파일을 평가하고 수정할 수authselect 툴은 pam 파일의 무결성을 보장하면서 pam_ ceilometer 모듈을 활성화하는 데 사용됩니다. 그 결과, pam_ kvm 모듈의 평가 및 수정은 최신 버전과 모범 사례에 맞게 조정됩니다.
SCAP Security Guide를 0.1.60으로 다시 기반으로 합니다.
SCAP Security Guide(SSG) 패키지가 업스트림 버전 0.1.60에 다시 기반을 두고 있습니다. 이 버전은 다음과 같은 다양한 개선 사항 및 버그 수정을 제공합니다.
-
PAM 스택 강화 규칙이 이제
authselect를 구성 도구로 사용합니다. - DISAonnectionFactory 자동화된 SCAP 콘텐츠와 SCAP 자동화 콘텐츠(delta tailoring)의 차이를 나타내는 프로필을 정의하는 맞춤형 파일이 지원됩니다.
-
xccdf_org.ssgproject.content_enable_fips_mode규칙에서 FIPS 모드가 올바르게 활성화되었는지만 확인합니다. 시스템 구성 요소가 FIPS 인증을 통과했음을 보장하지 않습니다.
DISAProgress 프로필은 Red Hat Virtualization 4.4를 지원합니다.
Red Hat Enterprise Linux 8 프로파일 버전 V1R5의 DISA STIG 가 Red Hat Virtualization 4.4를 지원하도록 향상되었습니다. 이 프로필은 Defense Information Systems Agency(DISA)에서 제공하는 RHEL 8 보안 기술 구현 가이드(STIG) 수동 벤치마크와 일치합니다. 그러나 일부 구성은 Red Hat Virtualization(Red Hat Virtualization)이 제대로 설치 및 작동하지 않기 때문에 RHV(Red Hat Virtualization)가 설치된 호스트에는 적용되지 않습니다.
nameserver 프로필이 RHVH(Red Hat Virtualization Host)에 적용되거나 자체 호스팅 설치(RHELH)의 경우 RHV Manager가 설치된 호스트에서 다음 규칙이 발생하면 'notapplicable'이 됩니다.
-
package_gss_proxy_removed -
package_krb5-workstation_removed -
package_tuned_removed -
sshd_disable_root_login -
sudo_remove_nopasswd -
sysctl_net_ipv4_ip_forward -
xwindows_remove_packages
자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 테스트 환경에서 먼저 수정을 실행합니다.
OpenSCAP을 1.3.6으로 다시 기반
OpenSCAP 패키지가 업스트림 버전 1.3.6으로 다시 기반되었습니다. 이 버전은 다양한 버그 수정 및 개선 사항을 제공합니다.
-
--local-files옵션을 사용하여 원격 SCAP 소스 데이터 스트림 구성 요소의 로컬 복사본을 제공할 수 있습니다. -
OpenSCAP에서는 여러
--rule인수를 수락하여 명령줄에서 여러 규칙을 선택합니다. -
OpenSCAP을 사용하면
--skip-rule옵션을 사용하여 일부 규칙을 평가할 수 있습니다. -
OSCAP_PROBE_MEMORY_USAGE_RATIO환경 변수를 사용하여 OpenSCAP 프로브에서 사용하는 메모리를 제한할 수 있습니다. - OpenSCAP에서 OSBuild Blueprint를 수정 유형으로 지원합니다.
Clevis-systemd 는 더 이상 nc에 의존하지 않습니다.
이번 개선된 기능을 통해 clevis-systemd 패키지는 더 이상 nc 패키지에 의존하지 않습니다. EPEL(Extra Packages for Enterprise Linux)과 함께 사용하면 종속성이 올바르게 작동하지 않았습니다.
감사 가 3.0.7로 다시 시작
감사 패키지가 버전 3.0.7으로 업그레이드되어 여러 개선 사항 및 버그 수정이 추가되었습니다. 특히 다음을 수행합니다.
-
sudoers를 감사 기본 규칙에 추가했습니다. -
ausearch명령에--eoe-timeout옵션과 이벤트 제한 종료 값을 지정하는auditd.conf파일에 --eoe-timeout옵션을 추가하여ausearch가 공동 배치된 이벤트를 구문 분석하는 방법에 영향을 미칩니다. - 원격 위치를 사용할 수 없을 때 CPU 용량의 100%를 사용하는 'audisp-remote' 플러그인에 대한 수정 사항을 도입했습니다.
audit에서 이벤트 시간 초과의 끝을 지정하기 위한 옵션을 제공합니다.
이번 릴리스에서는 ausearch 툴에서 --eoe-timeout 옵션을 지원하며 auditd.conf 파일에는 end_of_event_timeout 옵션이 포함되어 있습니다. 이러한 옵션을 사용하여 이벤트 시간 초과 끝을 지정하여 공동 배치된 이벤트 구문 분석 관련 문제를 방지할 수 있습니다. 이벤트 제한 시간 끝의 기본값은 2초로 설정됩니다.
감사 기본 규칙에 sudoers 추가
이번 개선된 기능을 통해 /etc/sudoers 및 etc/sudoers.d/ 디렉토리가 결제 카드 Industry Data Security Standard(PCI DSS) 및 OSPP(운영 체제 보호 프로필)와 같은 감사 기본 규칙에 추가됩니다. 이렇게 하면 sudoers 와 같은 권한 있는 영역에서 구성 변경 사항을 모니터링하여 보안이 향상됩니다.
(BZ#1927884)
rsyslog에는 고성능 작업을 위한 mmfields 모듈 및 CEF가 포함되어 있습니다.
rsyslog에는 이제 mmfields 모듈을 제공하는 rsyslog-mmfields 하위 패키지가 포함되어 있습니다. 이는 property replacer 필드 추출을 사용하는 대신, 속성 교체기와 달리 모든 필드가 한 번에 추출되어 구조화된 데이터 부분 내에 저장됩니다. 결과적으로 필드 기반 로그 형식(예: Common Event Format)을 처리하는 데 mmfields 를 사용할 수 있으며 많은 수의 필드가 필요하거나 특정 필드를 재사용할 수 있습니다. 이러한 경우 mmfields 는 기존 Rsyslog 기능보다 성능이 향상됩니다.
libcap 버전 2.48로 업데이트
libcap 패키지가 업스트림 버전 2.48로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
-
POSIX 의미 체계 호출(
libpsx)을 위한 도우미 라이브러리 - 시스템 호출 함수 덮어쓰기 지원
- 기능 세트에 대한 IAB 추상화
-
추가
capsh테스트 기능
fapolicyd 1.1을 다시 기반으로 합니다.
fapolicyd 패키지가 업스트림 버전 1.1로 업그레이드되었으며 여기에는 많은 개선 사항 및 버그 수정이 포함됩니다. 주요 변경 사항은 다음과 같습니다.
-
허용 및 거부 규칙이 포함된 파일의
/etc/fapolicyd/rules.d/디렉터리는/etc/fapolicyd/fapolicyd.rules파일을 대체합니다. 이제fagenrules스크립트는 이 디렉터리의 모든 구성 요소 규칙 파일을/etc/fapolicyd/ compiled.rules파일에 병합합니다. 자세한 내용은 새로운fagenrules(8)매뉴얼 페이지를 참조하십시오. -
RPM 데이터베이스 외부에 파일을 안정적으로 표시하기 위한
/etc/fapolicyd/fapolicyd.trust파일 외에도 신뢰할 수 있는 파일 목록을 더 많은 파일로 분리하는 기능을 지원하는 새로운/etc/fapolicyd/trust.d디렉터리를 사용할 수 있습니다. 이러한 파일에--trust-file지시문과 함께fapolicyd-cli -f하위 명령을 사용하여 파일에 대한 항목을 추가할 수도 있습니다. 자세한 내용은fapolicyd-cli(1)및fapolicyd.trust(13)매뉴얼 페이지를 참조하십시오. -
이제
fapolicydtrust 데이터베이스는 파일 이름의 공백을 지원합니다. -
이제
fapolicyd는 파일을 신뢰 데이터베이스에 추가할 때 실행 파일에 올바른 경로를 저장합니다.
libseccomp 를 2.5.2에 다시 기반으로 합니다.
libseccomp 패키지가 업스트림 버전 2.5.2에 다시 기반을 두고 있습니다. 이 버전에서는 버그 수정 및 개선 사항을 제공합니다.
-
Linux의 syscall 테이블을 버전
v5.14-rc7로 업데이트했습니다. -
알림 파일 설명자를 가져오기 위해
get_notify_fd()함수를 Python 바인딩에 추가했습니다. - 모든 아키텍처에 대한 다중화된 syscall 처리가 하나의 위치로 통합되었습니다.
- PPC(PowerPC) 및 MIPS 아키텍처에 다중화된 syscall 지원이 추가되었습니다.
-
커널 내에서EC
COMP_IOCTL_NOTIF_ID_VALID작업의 의미를 변경했습니다. -
SECCOMP_IOCTL_NOTIF_ID_VALID의 이전 커널 및 새로운 사용을 지원하도록libseccomp파일 설명자 알림 논리를 변경했습니다.
